AKTUALISIERT mit Kommentar von Dell und zusätzlichen Informationen von SafeBreach.
Laut einem neuen Bericht von SafeBreach aus Sunnyvale, Kalifornien, sind Millionen von Dell-Computern, auf denen Windows ausgeführt wird, und möglicherweise viele weitere Computer anderer Marken anfällig für einen Fehler in ihrer internen Software für den Systemzustand, durch den Hacker die Maschinen übernehmen könnten .
Bei Dell-Geräten heißt die Software SupportAssist. Es wird von PC-Doctor hergestellt, einem Hersteller von Hardware-Diagnosesoftware, der seine Software an andere Hersteller elektronischer Geräte lizenziert.
Die SafeBreach-Forscher sagten, dass PC-Doctor sich weigerte, ihnen eine Liste seiner anderen Kunden zu geben, aber die PC-Doctor-Website gibt an, dass "führende Hersteller über 100 Millionen Kopien von PC-Doctor für Windows auf Computersystemen weltweit installiert haben".
Dell und PC-Doctor haben ein Firmware-Update veröffentlicht, das dieses Problem behebt, das Sie gemäß den Anweisungen auf der Support-Seite von Dell für den SupportAssist-Fehler installieren können. Möglicherweise müssen Sie jedoch auf weitere Informationen zu Geräten warten, die von anderen Lizenznehmern der PC-Doctor-Software hergestellt wurden.
Die SupportAssist-Funktion ist anfällig, da sie gemeinsam genutzte Code-Repositorys, die als DLLs bekannt sind, nicht sicher verarbeitet. Um Duplizierungen zu vermeiden, speichern moderne Betriebssysteme Codeteile, die von vielen Programmen verwendet werden, in gängigen Repositorys, den sogenannten Direct Link Libraries, abgekürzt als DLLs in Windows oder Dylibs in macOS.
Programme laden DLL-Dateien, wenn sie gestartet werden, aber Angreifer können Fallen setzen, indem sie vorhandene DLLs beschädigen oder bösartige DLL-Dateien ersetzen, die dann bösartigen Code in Programme einschleusen, die diese DLLs verwenden. Die meisten Programme haben Möglichkeiten, eine solche "DLL-Injektion" zu verhindern, Dell SupportAssist jedoch eindeutig nicht, da die SafeBreach-Forscher auf diese Weise angreifen konnten.
Da SupportAssist als SYSTEM ausgeführt wird, hat es sehr tiefe Hooks in das Betriebssystem, und das Entführen seiner Funktionen würde einem Angreifer praktisch alles auf dem Computer ermöglichen – insbesondere, weil es sich um einen "signierten" Dienst handelt, der von Microsoft als sicher anerkannt wird.
Leider öffnet die Software Angreifern eine Tür, da sie nach einigen DLLs sucht, die sich nicht auf den Dell-Rechnern des SafeBreach-Teams befanden: AlienFX.dll, atiadlxx.dll, atiadlxy.dll und LenovoInfo.dll.
Letzteres ist interessant, da ein Dell-Rechner keine Datei namens "LenovoInfo.dll" enthalten sollte. Das kann ein Hinweis auf die Identität eines anderen Clients von PC-Doctor sein. "AlienFX.dll" ist sinnvoller, da Dell den Gaming-PC-Hersteller Alienware besitzt.
Da jedoch keine dieser DLLs auf den Testmaschinen existierte, erstellten die SafeBreach-Forscher einfach ihre eigenen Dateien und gaben ihnen die Namen der fehlenden Dateien. Und siehe da, Dell SupportAssist hat diese Dateien geladen und ihren Code ausgeführt, ohne zu überprüfen, wer die Dateien erstellt hat oder wo sie sich im System befinden.
Laut SafeBreach könnten Dell SupportAssist und vermutlich PC-Doctor dieses Problem abschwächen, indem nur DLLs zugelassen werden, die von autorisierten Softwareherstellern "signiert" wurden, und die Suche nach DLLs auf die Ordner beschränkt wird, in denen sich bestimmte DLLs befinden sollen.
SafeBreach meldete diese Schwachstelle am 29. April an Dell, und Dell verwies sie wiederum an PC-Doctor, der die Schwachstelle in der gemeinsamen Schwachstellendatenbank als CVE-2019-12280 aufgelistet bekam.
AKTUALISIEREN: Dell wandte sich an Tom's Guide und teilte mit, dass "Dell SupportAssist nicht von PC-Doctor hergestellt wird. Die von SafeBreach entdeckte Sicherheitsanfälligkeit ist eine PC-Doctor-Sicherheitslücke, die eine Drittanbieterkomponente ist, die mit Dell SupportAssist für PCs geliefert wird."
„Mehr als 90 % der Kunden haben das Update vom 28. Mai 2022-2023 bis 2022 erhalten und sind nicht mehr gefährdet. Dell SupportAssist aktualisiert sich automatisch, wenn automatische Updates aktiviert sind und die meisten Kunden haben automatische Updates aktiviert.“
SafeBreach veröffentlichte eine aktualisierte Version seiner Ergebnisse mit der Information, dass mehrere andere Softwarekomponenten anfällig waren: die oben erwähnte PC-Doctor Toolbox für Windows und andere Versionen, von denen SafeBreach sagte, dass sie in Corsair One Diagnostics, Corsair Diagnostics, Staples Easy Tech Diagnostics, Tobii I-Series Diagnostic Tool und Tobii Dynavox Diagnostic Tool.
Bildnachweis: ReviewsExpert.netazine
Dell Laptop-Handbuch
- Vorheriger Tipp
- Nächster Tipp
- Beste Dell Laptops und Chromebooks
- Sehen Sie, wie Dell im Vergleich zu anderen Laptop-Marken abschneidet
- Dell Tech-Support-Bewertung und -Berichtskarte
- Was ist in der Dell-Garantie enthalten?